(no subject)

[stas]

Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.

Comments

[digest.livejournal.com]

Пока есть обыкновенные пароли, их будут красть и задействовать через определенное время. Когда распространение получат одноразовые, красть начнут в рилтайме. Повторный запрос нового одноразового пароля для важных операций проблематичен по трем причинам: 1. пароль тривиально не сменится за короткий промежуток времени; 2. аутентикацию проводит один ресурс, в то время сам сервис предоставляется другим. Скрещивать ресурсы или перегружать авторизационный запросами сервисного не есть правильно. Иначе там появятся другого рода дыры. Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями; 3. приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну.

Брелок, без сомнения, решает некоторые второстепенные проблемы, добавляя при этом несколько новых ГЛАВНЫХ проблем.

[yankel.livejournal.com]

Но перехватов в риалт тайм будет просто на несколько порядков меньше, чем простых похищений паролей.
Для риал тайма нужно, как минимум, молниеносние личное вмешательство хакера. Понятно, что риск остается. Но отпадает куча простых ломак.

[digest.livejournal.com]

Но отпадает куча простых ломак

Простые ломаки не грабят банки онлайн :)

С молниеносным вмешательством тоже что-нить придумают. Я вполне представляю себе скрипт, срабатывающий на ввод url-a банка и соответственно эмулирующий ввод пользователя при получении экрана после успешной авторизации. Банков не так много, так что заточить скрипт даже под группу банков (напр. "все израильские") достаточно реальная задача.

[yankel.livejournal.com]

Именно что могут грабануть.
Научиться пользоваться троянами каким нибудь засранцам не так уж трудно.
Перевод небольших сумм по паре тысяч с нескольких десятков счетов на какой нибудь счет в банк Хадоар не вызовет подозрения. Пока клиенты опомнятся, он уже бабло снимет.
Понятно, что счет будет открыт с помощью нашего сраного удостоверения личности, которое он напечатает на принтере дома.

[yankel.livejournal.com]

А вот скрипты, о которых ты пишешь, это уже очень высокий уровень. Так просто не реализуем.

[digest.livejournal.com]

Так и зомбирующий компьютеры троян требует высокого уровня. Проблема в том, что пишут его одни, а используют другие. Для использования высокого уровня уже не требуется.

[stas]

Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями;

Это вы про интернет или про межбанковские коммуникации?

приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну

Не постоянно, а только при выполнении операций типа перевода денег. Банковский сайл Леуми, например, это уже делает. И каспоматы тоже.

[yankel.livejournal.com]

Да и брокерские конторы при покупке/продаже акций требуют введение второго пароля.